Dopo quello di luglio 2024, il Patch Tuesday Microsoft di ottobre si preannuncia piuttosto pesante. L’azienda di Redmond ha infatti rilasciato una serie di aggiornamenti correttivi che, complessivamente, risolvono ben 117 vulnerabilità di varia natura. Due sono le lacune di sicurezza rese pubbliche e già sfruttate attivamente dagli aggressori.
La prima, CVE-2024-43572, è una vulnerabilità che può portare al caricamento e all’esecuzione di codice remoto all’interno della Microsoft Management Console (MMC), la nota applicazione di amministrazione che da tempo offre una piattaforma modulare e flessibile per la gestione dei sistemi Windows. La patch appena rilasciata impedisce l’apertura di file MSC non affidabili.
La seconda vulnerabilità, CVE-2024-43573, riguarda il vecchio motore di rendering MSHTML, utilizzato in Internet Explorer e nelle prime versioni di Edge ma ancora presente in Windows. Sui sistemi sprovvisti della patch correttiva, i malintenzionati potrebbero sfruttare la falla per ottenere accessi non autorizzati, camuffandosi come entità affidabili.
Le altre vulnerabilità più critiche che meritano maggiore attenzione
Tra le falle di sicurezza non ancora sfruttate dai criminali informatici, c’è CVE-2024-43583. Il problema è importante perché gli aggressori possono far leva sullo storico componente Winlogon, responsabile della gestione delle operazioni di accesso e autenticazione degli utenti Windows, per ottenere i privilegi SYSTEM.
Con il “Patch day” di ottobre 2024, inoltre, Microsoft risolve tre vulnerabilità critiche che possono portare all’esecuzione di codice in modalità remota.
La più grave è CVE-2024-43468: in questo caso, un utente malintenzionato può far leva su Microsoft Configuration Manager per eseguire comandi arbitrari sul server preso di mira o su un database sottostante.
Un’altra vulnerabilità che può condurre all’esecuzione di codice remoto, CVE-2024-43488, interessa l’estensione Visual Studio Code per Arduino. L’assenza di protocolli di autenticazione potrebbe permettere a un attaccante di caricare ed eseguire codice remoto attraverso la rete.
Ancora, CVE-2024-43582 è una vulnerabilità scoperta nell’implementazione del protocollo RDP (Remote Desktop Protocol), alla base della funzionalità Desktop remoto, che potrebbe consentire l’esecuzione di codice da parte dell’attaccante con gli stessi privilegi del servizio RPC.
Cosa fare prima dell’installazione delle patch Microsoft di ottobre 2024
Come nel caso di qualunque rilascio mensile, la prima cosa da fare – soprattutto negli ambienti business – è verificare la propria superficie d’attacco e valutare se sia opportuno o meno temporeggiare alcuni giorni prima di procedere con l’installazione degli aggiornamenti.
In un altro articolo abbiamo messo in luce cosa succede se non installate gli aggiornamenti di Windows, Office e delle altre applicazioni. In generale, massima priorità dovrebbe essere assegnata alla risoluzione di quelle problematiche che potrebbero avere un impatto più o meno diretto. Si pensi ai software o ai componenti di Windows esposti direttamente sulla rete o che possono essere sfruttati in attacchi mirati nei confronti di dipendenti e collaboratori.
Cisco Talos mette ad esempio in evidenza alcune vulnerabilità classificate come “importanti”, che potrebbero diventare rilevanti in molteplici contesti:
- CVE-2024-43502: vulnerabilità di elevazione di privilegi nel Kernel di Windows
- CVE-2024-43509 e CVE-2024-43556: vulnerabilità di elevazione di privilegi nel componente grafico di Windows
- CVE-2024-43560: vulnerabilità di elevazione di privilegi nel Windows Storage Port
- CVE-2024-43581 e CVE-2024-43615: vulnerabilità di esecuzione di codice remoto in Microsoft OpenSSH per Windows
- CVE-2024-43609: vulnerabilità di spoofing in Microsoft Office
Per raccogliere ulteriori informazioni, suggeriamo di fare riferimento alla tabella riassuntiva predisposta da ISC-SANS.